1、STP協議的主要用途是什麼?為什麼要用STP
主要用途:1、STP通過阻塞冗餘鏈路,來消除橋接網路中可能存在的路徑迴環;2、當前活動路徑發生故障時,STP啟用冗餘鏈路恢復網路連通性。
原因:交換網路存在環路時引起:廣播環路(廣播風暴);橋表損壞。
2、VLAN和VPN有什麼區別?分別實現在OSI的第幾層?
VPN是一種三層封裝加密技術,VLAN則是一種第二層的標誌技術(儘管ISL採用封裝),儘管使用者檢視有些相象,但他們不應該是同一層次概念。
VLAN(Virtual Local Area Network)即虛擬區域網,是一種通過將區域網內的裝置邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
VLAN在交換機上的實現方法,可以大致劃分為2大類:基基於埠劃分的靜態VLAN;2、基於MAC地址|IP等劃分的動態VLAN。當前主要是靜態VLAN的實現。
跨交換機VLAN通訊通過在TRUNK鏈路上採用Dot1Q或ISL封裝(標識)技術。
VPN(虛擬專用網)被定義為通過一個公用網路(通常是因特網)建立一個臨時的、安全的連線,是一條穿過混亂的公用網路的.安全、穩定的隧道。
VPN使用三個方面的技術保證了通訊的安全性:隧道協議、資料加密和身份驗證。
VPN使用兩種隧道協議:點到點隧道協議(PPTP)和第二層隧道協議(L2TP)。
VPN採用何種加密技術依賴於VPN伺服器的型別,因此可以分為兩種情況。
對於PPTP伺服器,將採用MPPE加密技術 MPPE可以支援40位金鑰的標準加密方案和128位金鑰的增強加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份驗證被協商之後,資料才由 MPPE 進行加密,MPPE需要這些型別的身份驗證生成的公用客戶和伺服器金鑰。
對於L2TP伺服器,將使用IPSec機制對資料進行加密 IPSec是基於密碼學的保護服務和安全協議的套件。IPSec 對使用 L2TP 協議的 VPN 連線提供機器級身份驗證和資料加密。在保護密碼和資料的 L2TP 連線建立之前,IPSec 在計算機及其遠端VPN伺服器之間進行協商。IPSec可用的加密包括 56 位金鑰的資料加密標準DES和 56 位金鑰的三倍 DES (3DES)。
3、VPN的身份驗證方法
前面已經提到VPN的身份驗證採用PPP的身份驗證方法,下面介紹一下VPN進行身份驗證的幾種方法。
CHAP CHAP通過使用MD5(一種工業標準的雜湊方案)來協商一種加密身份驗證的安全形式。CHAP 在響應時使用質詢-響應機制和單向 MD5 雜湊。用這種方法,可以向伺服器證明客戶機知道密碼,但不必實際地將密碼傳送到網路上。
MS-CHAP 同CHAP相似,微軟開發MS-CHAP 是為了對遠端 Windows 工作站進行身份驗證,它在響應時使用質詢-響應機制和單向加密。而且 MS-CHAP 不要求使用原文或可逆加密密碼。
MS-CHAP v2 MS-CHAP v2是微軟開發的第二版的質詢握手身份驗證協議,它提供了相互身份驗證和更強大的初始資料金鑰,而且傳送和接收分別使用不同的金鑰。如果將VPN連線配置為用 MS-CHAP v2 作為唯一的身份驗證方法,那麼客戶端和伺服器端都要證明其身份,如果所連線的伺服器不提供對自己身份的驗證,則連線將被斷開。
EAP EAP 的開發是為了適應對使用其他安全裝置的遠端訪問使用者進行身份驗證的日益增長的需求。通過使用 EAP,可以增加對許多身份驗證方案的支援,其中包括令牌卡、一次性密碼、使用智慧卡的公鑰身份驗證、證書及其他身份驗證。對於VPN來說,使用EAP可以防止暴力或詞典攻擊及密碼猜測,提供比其他身份驗證方法(例如 CHAP)更高的安全性。
在Windows系統中,對於採用智慧卡進行身份驗證,將採用EAP驗證方法;對於通過密碼進行身份驗證,將採用CHAP、MS-CHAP或MS-CHAP v2驗證方法。
